Les opérateurs qui recourent, aux fins de détecter les événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés, aux dispositifs mentionnés à l'article L. 33-14, communiquent à l'Agence nationale de la sécurité des systèmes d'information une documentation qui décrit, pour chaque dispositif :
1° La nature du dispositif, les mesures de sécurité appliquées et le type de marqueurs techniques susceptibles d'être exploités par ce dispositif ;
2° Les capacités d'analyse du dispositif, les infrastructures de communications électroniques concernées et, le cas échéant, les méthodes d'échantillonnage des flux de données analysés ainsi que la fréquence d'analyse ;
3° Les critères techniques définis pour détecter les événements susceptibles de porter atteinte à la sécurité des systèmes d'information ;
4° Les catégories de données susceptibles d'être collectées et la durée de conservation appliquée dans la limite de six mois mentionnée au troisième alinéa de l'article L. 33-14.
VersionsLiens relatifsLes marqueurs techniques exploités par les dispositifs mentionnés à l'article R. 9-12-1 sont des éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace.
Lorsque l'utilisation d'un marqueur, à l'initiative de l'opérateur de communications électroniques ou à la demande de l'Agence nationale de la sécurité des systèmes d'information, est à l'origine d'une alerte pour la sécurité des systèmes d'information d'un abonné, l'opérateur est autorisé à conserver, pour une durée maximale de six mois, les données techniques mentionnées à l'article R. 10-15 associées à cette alerte.
VersionsLiens relatifsLorsqu'elle demande aux opérateurs de communications électroniques, conformément au deuxième alinéa de l'article L. 33-14, d'exploiter des marqueurs techniques qu'elle leur fournit, l'Agence nationale de la sécurité des systèmes d'information précise la durée pour laquelle ils doivent être mis en œuvre ainsi que, le cas échéant, les éléments relatifs à la menace susceptible de porter atteinte à la sécurité des systèmes d'information qu'ils doivent permettre de détecter.
Les opérateurs, après avoir vérifié l'innocuité des marqueurs techniques fournis par l'Agence nationale de la sécurité des systèmes d'information pour leurs réseaux et services, les mettent en œuvre pour la durée indiquée. Ils tiennent à la disposition de l'agence une situation à jour de l'exploitation des marqueurs techniques fournis et justifient toute non-utilisation, même temporaire, de ces derniers.
Lorsque l'utilisation d'un marqueur technique fourni par l'Agence nationale de la sécurité des systèmes d'information est à l'origine d'une alerte pour la sécurité des systèmes d'information d'un abonné, l'opérateur en informe celle-ci sans délai. Il lui transmet, conformément au deuxième alinéa de l'article L. 2321-3 du code de la défense, les données techniques permettant d'identifier l'utilisateur ou le détenteur du système d'information affecté par l'événement détecté.
A la demande de l'agence, si l'événement concerne une autorité publique, un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du code de la défense ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les opérateurs communiquent à l'agence, dans les mêmes conditions, les données mentionnées à l'article R. 10-15 associées à cette alerte.
VersionsLiens relatifsLes opérateurs informent leurs abonnés des vulnérabilités de leurs systèmes d'information ou des atteintes subies par ces systèmes par la transmission d'un message d'information de l'Agence nationale de la sécurité des systèmes d'information selon des modalités précisées par cette dernière. Ils rendent compte à l'agence de l'envoi de ce message aux destinataires.
VersionsVersion en vigueur depuis le 01 janvier 2019
Les modalités de la compensation des prestations assurées par les opérateurs de communications électroniques au titre du cinquième alinéa de l'article L. 33-14 sont fixées par arrêté conjoint du Premier ministre et du ministre chargé des communications électroniques.
VersionsLiens relatifsPour l'application de l'article L. 36-14, la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est informée, sans délai, par l'Agence nationale de la sécurité des systèmes d'information au titre de l'article L. 2321-2-1 du code de la défense :
1° Des éléments de nature à justifier l'existence de la menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 de ce code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée, y compris le cas échéant, les éléments relatifs à l'infrastructure d'attaque informatique ;
2° De la notification aux personnes mentionnées au premier alinéa de l'article R. 2321-1-1 du code de la défense, de la décision de mise en œuvre des dispositifs techniques mentionnés au premier alinéa de l'article L. 2321-2-1 du même code et du cahier des charges mentionnés au même article R. 2321-1-1 ;
3° Des réseaux et systèmes d'information des opérateurs de communications électroniques et personnes mentionnées aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique sur lesquels sont mis en œuvre les dispositifs mentionnés à l'article L. 2321-2-1 du code de la défense ;
4° Des caractéristiques techniques de ces dispositifs et des objectifs attendus ;
5° Des catégories de données techniques susceptibles d'être recueillies ;
6° Des résultats de l'analyse technique réalisée en application du deuxième alinéa de l'article L. 2321-2-1 du même code ;
7° Le cas échéant, de la décision de prorogation mentionnée à l'article R. 2321-1-2 de ce code.
VersionsLiens relatifsAu titre du deuxième alinéa de l'article L. 2321-3 du code de la défense, la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est informée, sans délai, par l'Agence nationale de la sécurité des systèmes d'information :
1° Des éléments de nature à justifier l'existence d'un événement susceptible d'affecter la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ou des opérateurs mentionnés à l'article 5 de la loi du 26 février 2018 précitée ;
2° Des demandes formulées auprès des opérateurs de communications électroniques et des catégories de données obtenues.
VersionsLiens relatifsLes articles R. 9-12-1 à R. 9-12-7 sont applicables dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie dans leur rédaction résultant du décret n° 2018-1136 du 13 décembre 2018.
VersionsLiens relatifs
Paragraphe III bis : Dispositions relatives à la prévention des menaces affectant la sécurité des systèmes d'information
(Articles R9-12-1 à R9-12-8)